728x90
반응형
□ 개요
o 이스트소프트社 알송 프로그램에서 입력값 검증 미흡으로 DOM-Based XSS 취약점 발생
| 취약점 종류 | 영향 | 심각도 | CVSS 점수 | CVE ID |
| Cross-Site Scripting | 코드실행 | MEDIUM | 4.4 | CVE-2020-7809 |
□ 설명
o 알송 앨범 생성시 내용 구성 항목에 대한 입력값 검증이 부재하여 임의의 스크립트를 앨범 파일에 삽입할 수 있는 취약점(CVE-2020-7809)
o 공격자는 조작된 앨범 파일 열람을 유도하여 악성스크립트 실행을 유발시킬 수 있음
□ 영향 받는 제품
| 제품 | 영향 받는 버전 | 동작환경 |
| 알송 | 3.46 포함 이전버전 | Windows OS |
□ 해결 방안
o 취약점이 해결된 버전(v3.47) 또는 그 이상의 버전으로 업데이트 적용
□ 참고 사이트
[1] https://www.altools.co.kr/support/Notice_Contents.aspx?idx=1808&page=3&t=
□ 기타
o 취약점은 KrCERT 홈페이지를 통해 오대진님께서 제공해주셨습니다
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
□ CVSS 점수 정리
o Medium 4.4 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
- https://nvd.nist.gov/vuln/detail/CVE-2020-7809
- https://itschool-info-lab.github.io/cvss/#CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
728x90
반응형
댓글